サイバー攻撃を想定したBCP策定の確認表作成( 厚労省)
厚生労働省は、サイバー攻撃を受けた場合の事業継続計画(BCP)を策定する上で記載すべき
項目をまとめた確認表を作り、医療団体に 6 日付で通知した。確認表の項目ごとに解説を加え
た手引きとBCPのひな形も作成し、医療機関に活用を呼び掛けている。
BCP 策定の確認表では、▽平時(非常時に備えたサイバーセキュリティーの体制整備)▽検
知(システム障害が見受けられる場合の対応)▽初動対応(サイバー攻撃による被害の拡大防
止)▽復旧処理(復旧計画に基づく対応)▽事後対応(復旧結果の報告を踏まえた再発防止策
の検討)-の5つのステップごとに確認すべき項目をまとめた。
ステップ 1 の「平時」では、非常時を想定して院内の情報機器の全体を網羅するネットワー
クの「構成図」を作成し、院内のサーバ・端末・ネットワーク機器の状況を把握できているか
を確認する。
確認表の手引きでは、サーバや端末のОS(基本ソフト)、IP アドレス、脆弱性への対応状況、
ウイルス対策ソフトの稼働状況の一覧を整備するよう呼び掛けている。
さらに、非常時を想定したサイバーセキュリティー体制の整備では、サイバー攻撃のリスク
を検知するための情報収集の体制を整備できているかどうかや、バックアップと復旧の手順を
確認できているかなどをチェックする。
ステップ 3 のサイバー攻撃を受けた際の「初動対応」では、電源系統・ブレーカー・ハード
ウェア・ソフトウェアなどの原因調査を行えるかどうかや、調査を事業者に依頼できる体制に
なっているかを確認する。また、サイバー攻撃の兆候があったらネットワークを遮断するなど、
被害の拡大を防ぐための対応が可能かどうかも確認する。
ステップ 4 の「復旧処理」では、経営層からの指示に基づき復旧計画を実施できるかをチェ
ックする。
手引きでは、BCP を策定する際の留意点としてあらかじめリスク分析を行う重要性を強調し、
院内だけでなく事業者やほかの関係者と情報交換を行うなど「リスクコミュニケーション」の
実践を呼び掛けた。また、BCPの定期的な見直しや更新も求めた。